Техническая информация
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\ose2184.tmp'
- '%TEMP%\ose2184.tmp' run
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wd4sx.wmf
- %TEMP%\ose2184.tmp
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\icanhazip_com[1].txt
- %WINDIR%\temp\~07f8deea\133750506.txt
Удаляет следующие файлы
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\icanhazip_com[1].txt
Подменяет следующие файлы
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\icanhazip_com[1].txt
Сетевая активность
TCP
Запросы HTTP GET
- http://ic###azip.com/
UDP
- DNS ASK ic###azip.com
- DNS ASK jk##j.com
Другое
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
